![\"github](\"https:\/\/www.almtoolbox.com\/fr\/blog\/wp-content\/uploads\/2022\/04\/github-red-brickwall.jpg\")
<\/p>\n<\/p>\n
GitHub a signal\u00e9 qu’un pirate exploitait apparemment une faille de s\u00e9curit\u00e9 ou
\nerreur humaine sur les applications tierces Travis et Heroku.<\/p>\n
La faille de s\u00e9curit\u00e9 a expos\u00e9 les jetons, permettant au pirate de voler les jetons et de les utiliser pour entrer dans des r\u00e9f\u00e9rentiels priv\u00e9s sur GitHub (y compris NPM)
\nil a donc r\u00e9ussi \u00e0 t\u00e9l\u00e9charger ces r\u00e9f\u00e9rentiels – y compris tout le code et les informations qu’ils contiennent.<\/p>\n
Cela signifie que\u00a0: des vuln\u00e9rabilit\u00e9s dans des applications tierces ont caus\u00e9 le vol de code de GitHub<\/p>\n
Il existe plusieurs solutions diff\u00e9rentes – et vous devez toutes les mettre en \u0153uvre\u00a0:<\/p>\n
Si vous utilisez GitHub dans le cloud public (github.com) et donnez aux fournisseurs tiers un acc\u00e8s Oauth (le type de jetons vol\u00e9s) –
\nminimiser les autorisations que vous accordez \u00e0 des tiers pour acc\u00e9der \u00e0 vos informations.<\/p>\n
Vous devez \u00e9galement passer en revue les autorisations qu’ils demandent et vous assurer qu’elles ne sont pas trop larges et permissives.<\/p>\n
Une erreur courante consiste \u00e0 accorder des autorisations globales.<\/p>\n
Il en va de m\u00eame lors de l’octroi d’autorisations aux applications GitHub (qui g\u00e9n\u00e8rent \u00e9galement des jetons).<\/p>\n
Vous devriez \u00e9galement envisager de passer \u00e0 GitHub \/ GitLab Enterprise<\/a> sur un serveur priv\u00e9 ou utilisez uniquement des adresses IP autoris\u00e9es (dans les \u00e9ditions de cloud public), qui offrent des couches de protection suppl\u00e9mentaires contre les utilisateurs non autoris\u00e9s du monde entier.<\/p>\n Au-del\u00e0 de cela – il est important que le fournisseur tiers stocke les jetons dans un outil de coffre-fort centralis\u00e9 – ce qui aurait rendu tr\u00e8s difficile pour les pirates d’obtenir les jetons (le rendant presque toujours inaccessible).<\/p>\n Si vous utilisez de tels tiers, v\u00e9rifiez ou assurez-vous (dans le cadre de votre cha\u00eene d’approvisionnement) qu’ils le stockent dans des outils Vault tels que Akeyless Vault<\/a> (SaaS et une solution hybride) ou HashiCorp pour les r\u00e9seaux ferm\u00e9s.<\/p>\n Il en va de m\u00eame pour toute application qui accorde des autorisations d’acc\u00e8s \u00e0 des tiers \u00e0 l’aide de jetons.<\/p>\n ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider \u00e0 prot\u00e9ger vos r\u00e9f\u00e9rentiels et vos environnements logiciels\/cloud.<\/em><\/p>\n Contactez-nous : devsecops@almtoolbox.com<\/a>\u00a0 \u00a0ou +33(0)1 84 17 53 28\u00a0 <\/span><\/em>\u00a0\u00a0<\/span><\/i><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":" GitHub a signal\u00e9 qu’un pirate exploitait apparemment une faille de s\u00e9curit\u00e9 ou erreur humaine sur les applications tierces Travis et Heroku. La faille de s\u00e9curit\u00e9 a expos\u00e9 les jetons, permettant au pirate de voler les jetons et de les utiliser pour entrer dans des r\u00e9f\u00e9rentiels priv\u00e9s sur GitHub (y compris NPM) il a donc r\u00e9ussi… Continue reading Des vuln\u00e9rabilit\u00e9s dans des applications tierces ont caus\u00e9 le vol de code de GitHub<\/span>
\n(sur site \/ locataire unique \/ autog\u00e9r\u00e9) derri\u00e8re des couches de protection suppl\u00e9mentaires telles que pare-feu, SSO ou acc\u00e8s distant s\u00e9curis\u00e9<\/a>,<\/p>\n3) Prot\u00e9ger les secrets<\/h3>\n
\n